WEBサイトを運営していて、Googleアナリティクス(GA4)を確認しながら、『どこからアクセスしてきてるんだろう?』って思う事ありますよね?私もそうです💦ブログを立ち上げ、日本の方しかアクセスしていないと思ったら、海外からのアクセスも多いじゃないですか😅
しかも、中国『Lanzhou』からのアクセスが急増してる。。。ここどこ❓
やはり、セキュリティが気になりました💦レンタルサーバで出来ること、WordPressで出来ること。ここでは、私が行っているセキュリティ対策を紹介します😃そんな難しくはありません。
これから世界に向けて情報発信したい。レンタルサーバを立ち上げて見たいと思う方、ちょっと今までセキュリティに対して考えていなかったなと思う方など。是非、参考にして頂けると幸いです💕
ポイント
- WordPressを立ち上げたのだがセキュリティはどうするの?
- レンタルサーバのセキュリティ設定って難しい?
以上のような悩みを解決できる記事になっていますので、是非、読んで頂けると幸いです。
【PR】記事内にプロモーションが含まれています。
レンタルサーバ『ConohaWING』は、特別な知識も無く簡単な設定でセキュリティを高めることが出来ます✨私も『ConohaWING』を利用していますが、とても使い勝手が良く。又、サーバの速度(レスポンス)も早いです🌈
『ConohaWING』公式
【WordPress,セキュリティ対策,初心者】WordPressを立ち上げたのだがセキュリティが不安。
セキュリティが不安と思っている方は結構多いのではないでしょうか💦知らない処からアクセスが急増してるんだけど・・・この海外からのアクセスって大丈夫なの❓ここではWordPressが狙われやすい理由と、脆弱性を突かれて侵入されたらどうなってしまうのかを説明します。
WordPressは狙われやすい3つの理由とは?
①使っている人が一番多い
WordPressはWEBサイトやブログなどを作成するオープンソース(無償で公開していること)のソフトウェアです。全世界の『約40%』がWordPressをしようしています。世界の中でもっとも使用されているソフトウェアだからこそ、脆弱性を突く攻撃などで狙われやすいのです。
②ユーザはあまりセキュリティを意識してない?
WordPressを使用しているユーザの中にはセキュリティ対策をあまり意識していない人たちがいる事が挙げられています。攻撃者は、その意識レベルの低いユーザを狙って脆弱性を突いてくるのです。
WordPressのセキュリティ対策、未実施の経営者 4割以上が「セキュリティを意識したことがない」実態。 その理由、「なんとなく自分は大丈夫だと思う」と思っている人が多いそうです。
③プログラムが公開されている
前述で述べた通り、WordPressはオープンソースのソフトウェアです。オープンソースとは無償で公開されているソフトウェアのこと。
悪意ある攻撃者がプログラムの中身を確認して脆弱性を発見し、攻撃してくることも十分考えられます。
WordPressに関わらずですが、一般企業でもシステムの脆弱性が発見されれば、一年のうちにかなりの休日出勤をして脆弱性対応をおこなっているかと思います。それは攻撃者から会社のシステムを守るため、常にシステムを最新の状態に保つためです。
WordPressの脆弱性を突かれると何が起きる?
なりすましによる管理コンソールへのログイン
ログイン画面からユーザID、パスワードによるアクセスを試み、侵入されると管理コンソールが乗っ取られてしまいます。
攻撃者がまずやることはユーザID、パスワードを変更して、さらに二段階認証による設定を施すでしょう。そうなってしまうとあなたはもうWordParessにログインすることが出来なくなってしまいます。
機密データの流出による情報漏洩
WordPressを利用してECサイト(インターネット上でサービスや商品を売るサイト)を構築している人もいるかと思います。ECサイトでは顧客情報などを管理しています。その顧客情報が流出し、損害賠償や社会的信用を失う可能性も十分に考えられるのです💦
投稿した記事への改ざん
管理コンソールが乗っ取られてしまうと、攻撃者の意図するサイト(不正なサイト)へのリンク貼り付けなどがあげられます。
あなたのWEBサイトにマルウェア付のファイル(悪意のあるファイル)を置かれ、閲覧者にダウンロードさせるなど、あなただけが被害にあうどころか、閲覧者まで被害にあってしまいます。
WordPressの脆弱性を突かれ侵入を許すことで、膨大な被害を受けることになるのね。
【WordPress,セキュリティ対策,初心者】WordPressのセキュリティ対策5つ!
ここではWordPressのセキュリティ対策を5つ説明します。どれも簡単に出来て、すぐ効果がある対策なので、是非、おこなって頂くことをおすすめします🌈
①パスワード強度を上げる!
まずはこれ!
パスワード強度を上げましょう。
攻撃者はパスワードをクラックするのに辞書攻撃、ブルートフォース攻撃を使用します。辞書攻撃とは辞書に登録されている単語などを使用してパスワード解読を試みます。
ブルートフォース攻撃は大文字、小文字、英数字、記号を組み合わせて、あらゆる組み合わせを試行してパスワード解読を試みる手法です。
最低でも、「大文字・小文字・英数字・記号」を合わせた10桁以上がIPAで奨励されています。これであればパスワードクラックにかかる時間が現在のところ約5年はかかると言われています。
以下のWEBサイトを参考にしています。
②ログイン時の二段階認証
パスワードの強度を上げたら、今度は二段階認証の設定です。「二段階認証」とは、「ユーザID・パスワード」の他に、認証する機能をもう1つ追加します。
・「ユーザID・パスワード」+「スマホによる認証コード」
・「ユーザID・パスワード」+「メールによる認証コード」
WordPressではプラグイン(Two Factor)を利用して「二段階認証」の設定をおこないます。以下の記事に詳しく設定方法を記載していますので、是非、参考にしてみて下さい🌈
👉WordPressの2段階認証とは?設定方法とおすすめプラグイン|不正ログイン対策の基本
パスワード強度を上げ、二段階認証にすれば、「ログイン画面」からの侵入はまず防げます。
③WordPressのプラグイン、テーマを最新の状態に保つ
「ログイン画面」へのセキュリティ対策が出来ていても、WordPressの脆弱性を突かれたら攻撃者の侵入を許してしまいます。『プラグインとテーマは常に最新の状態に保つ』ようにしましょう。
プラグインやテーマの更新があると、WordPressのダッシュボードのメニュー「更新」に通知が来るようになっています。
「全て選択」にチェックを入れ、「テーマを更新」をクリックします。
更新するプラグインの数によっては、そこそこ時間かかかるかも知れません。
「プラグイン」「テーマ」ともに全て最新版になっています。
④不要なプラグインは削除しよう
使っていないプラグイン、不要なプラグインは出来るだけ削除しましょう。「削除」ではなく「無効化」もあまりおすすめ出来ません。
「無効化」にしているプラグインもアップデートの更新があり、無効化していると自動更新が出来ませんので、放っておくと脆弱性の対象になってしまいます。又、WordPress自体も重たくなるため、不要なプラグインは「削除」がおすすめです。
知らないうちにインストールされていたプラグイン。
以下のプラグインが知らないうちにインストールされていました。調べてみると、SEO対策で「All in One SEO」をインストールした際に、勝手にインストールされるようです。
使用しないのであれば「削除」をおすすめします。
■「Google Analytics for WordPress by MonsterInsights」
■「OptinMonster」
⑤レンタルサーバのセキュリティ機能の活用
作成した「WordPress」は外部公開され、誰でも閲覧可能になります。閲覧する方は全員が良い方とは限りません。中には脆弱性を突いてホームページを攻撃する方もいます。
その為にレンタルサーバで無料でできる設定があります。簡単ですので、是非、設定してすることをおススメします😃特別な知識は必要ありません✨
【ConohaWING】WAFの機能を利用する・SSL通信の暗号化・ブロックログ
Google Analytics(GA4)を見ていたら、「Lanzhou(蘭州)」からのアクセスがやたら多い…?中国っぽい地名だけど、心当たりはないし、「これって攻撃?それともただの誤判定?」と不安になった人も多いはず。
以下の記事で、私が『ConohaWING』の管理画面でセキュリティの設定をおこなっています😃是非、参考にしてみてください✨
👉ConoHa WINGのWAFブロックログの見方|どんなアクセスが防がれているか確認する方法【初心者向け】
👉ConoHa WINGのセキュリティ設定はどこまで必要?管理画面でできる対策を全部整理してみた
👉海外アクセスを制限する方法|ConoHa WINGで私が実際にやった設定手順【Lanzhou対策】
【WordPress,セキュリティ対策,初心者】WordPressのセキュリティ まとめ
■WordPressを立ち上げたのだがセキュリティが不安。
■セキュリティ対策はどうすれば良いの?
以上の悩みを以下ののような項目ごとに分けて説明してきました。
WordPressを立ち上げたのだがセキュリティが不安。
→ WordPressは狙われやすい3つの理由とは?
→ WordPressの脆弱性を突かれると何が起きる?
WordPressのセキュリティ対策5つ!
→ パスワード強度を上げる!
→ ログイン時の二段階認証
→ WordPressのプラグイン、テーマを最新の状態に保つ
→ 不要なプラグインは削除しよう
→ レンタルサーバのセキュリティ機能の活用
WordPressを立ち上げてインターネット上からログイン出来るということは、外部に晒している以上、だれでも見れるという事なのです。当然、攻撃者からもログイン画面は見えます。
もし、攻撃を許してしまえば自分自身の損害だけではなく、閲覧する方、利用している方、全員が被害者になってしまいます💦そうならない為にも、是非、セキュリティ対策を施しましょう!今回、説明した対策は時間もかけずにすぐ出来て、効果もあります。
安心、安全でWordPressを楽しく使用しましょう✨